هکرهای کره شمالی شرکتهای ارزهای دیجیتال را در هک گسترده زنجیره تامین 3CX هدف قرار میدهند – در اینجا چه اتفاقی افتاد
شرکت امنیت سایبری روسیه کسپرسکی نسبت به شکل جدیدی از حمله به شرکتهای ارزهای دیجیتال هشدار داده است که میگوید با “دقت جراحی” توسط هکرها با استفاده از نرمافزارهای خراب انجام میشود.
کسپرسکی تحقیقات چندین شرکت متمرکز بر کریپتو را به عنوان قربانیان حمله زنجیره تامین نرم افزار 3CX در هفته گذشته شناسایی کرد.
در حالی که نام شرکت های مورد نظر را ذکر نکرد، نشان داد که آنها در “آسیای غربی” مستقر هستند.
این حمله که گمان میرود از طرف دولت کره شمالی انجام شده باشد، شامل خراب کردن اپلیکیشن VoIP پرکاربرد، 3CX، برای فشار دادن کد هکرها بر روی ماشینهای قربانیان بود.
هکرها شکست خوردند
گئورگی کوچرین، محقق تیم تحلیلگران امنیتی GreAT کسپرسکی، گفت که این نوع حمله “بسیار رایج شده است” و توضیح داد:
“در طول حملات زنجیره تامین، عامل تهدید، شناسایی قربانیان را انجام می دهد، اطلاعات را جمع آوری می کند، سپس آنها این اطلاعات را فیلتر می کنند و قربانیان را برای استقرار بدافزار مرحله دوم انتخاب می کنند.”
این فیلتر برای کمک به مهاجمان برای جلوگیری از شناسایی است، با توجه به اینکه شناسایی بدافزار مرحله دوم برای بسیاری از قربانیان آسانتر میشود.
با این حال، به نظر می رسد در اینجا چیزی اشتباه رخ داده است.
کوچرین گفت که حمله زنجیره تامین 3CX حداقل در مقایسه با سایرین به سرعت شناسایی شد. شرکت های امنیتی دوست دارند CrowdStrike و SentinelOne نصب بدافزار اولیه را در هفته گذشته، کمتر از یک ماه پس از استقرار آن، شناسایی کرد.
کوچرین میگوید: «آنها سعی کردند یواشکی باشند، اما شکست خوردند. ایمپلنت های مرحله اول آنها کشف شد.
CrowdStrike و SentinelOne هکرهای کره شمالی را بهعنوان مهاجمانی شناسایی کردند که نرمافزار نصبکننده 3CX را که توسط 600000 سازمان در سراسر جهان مورد استفاده قرار میگرفت، در Wired به خطر انداختند.
کسپرسکی همچنین دریافت که هکرها قربانیانی را که آنها آلوده کرده بودند غربال میکردند تا «کمتر از 10 دستگاه» متصل به شرکتهای رمزنگاری را شناسایی کرده و عمداً هدف قرار دهند. این حداقل داده هایی است که تاکنون جمع آوری شده است.
به نظر می رسد که هکرهای تحت حمایت دولتی از زنجیره تامین نرم افزار برای آلوده کردن هزاران سازمان سوء استفاده می کنند، اما پس از آن فقط بر روی چند قربانی تمرکز می کنند.
از کوشرین نقل شده است که
«این همه فقط برای به خطر انداختن گروه کوچکی از شرکتها بود، شاید نه فقط در حوزه ارزهای دیجیتال، اما آنچه میبینیم این است که یکی از منافع مهاجمان شرکتهای ارزهای دیجیتال است. […] شرکتهای ارزهای دیجیتال باید بهویژه نگران این حمله باشند، زیرا آنها اهداف احتمالی هستند و باید سیستمهای خود را برای به خطر انداختن بیشتر اسکن کنند.”
اما از آنجایی که مهاجمان دستگیر شدند، هنوز مشخص نیست که آیا این کمپین موفق بوده است یا خیر. کوچرین گفت که کسپرسکی تاکنون هیچ مدرکی دال بر سرقت رمزنگاری واقعی از شرکتهایی که با این بدافزار خاص هدف قرار گرفتهاند، ندیده است.
شرکتهای بیشتر، از جمله آنهایی که خارج از صنعت کریپتو هستند، احتمالاً اهداف آینده هستند. تام هگل، محقق امنیتی SentinelOne، اضافه کرد که
«تئوری فعلی در این مرحله این است که مهاجمان در ابتدا شرکتهای رمزنگاری را هدف قرار دادند تا وارد آن سازمانهای با ارزش بالا شوند. […] من میخواهم حدس بزنم که وقتی آنها موفقیت این کار و انواع شبکههایی را که در آن حضور داشتند، دیدند، احتمالاً اهداف دیگری وارد عمل شدهاند.”
وی افزود که وضعیت “بسیار سریع آشکار می شود” و هنوز اطلاعات بیشتری در مورد قربانیان و اهداف احتمالی وجود دارد. هگل گفت: «اما از نقطه نظر مهاجم، اگر تنها کاری که آنها انجام دادند شرکتهای رمزنگاری را هدف قرار دادند، این یک فرصت هدر رفت چشمگیر بود.»
یک سوم از کاربران کریپتو قربانی کلاهبرداری شدند
در همین حال، کسپرسکی در اکتبر سال گذشته از 2000 آمریکایی نظرسنجی کرد و دریافت که یک سوم از کسانی که دارای رمزنگاری هستند نیز سرقت آن را تجربه کرده اند. میانگین ارزش این سرقت 97583 دلار بوده است.
یک سوم گفتند که قربانی یک وب سایت جعلی مرتبط با رمزارز یا کلاهبرداری سرمایه گذاری شده اند. در میان قربانیان، 19 درصد هویت خود را به سرقت برده اند، در حالی که 27 درصد مشاهده کرده اند که اطلاعات شخصی و پول از حساب های بانکی خود به سرقت رفته است.
مارکو ریورو، محقق ارشد امنیتی در Kaspersky GreAT، گفت که «این دادههای نظرسنجی نشان میدهد که بسیاری از مردم رمزارز خود را به سرقت میبرند و حتی سرقت هویت را تجربه میکنند».
ریورو توصیه میکند که کاربران باید مراقب کلاهبرداریهای فیشینگ و وبسایتهای جعلی باشند، از هرگونه تدابیر امنیتی اضافی مانند احراز هویت چند عاملی استفاده کنند و از رمزهای عبور قوی و منحصر به فرد در همه حسابها استفاده کنند.
در همین حال، هکرها سرقت رمزنگاری برای رژیم کره شمالی پدیده جدیدی نیست. در زیر می توانید در مورد آن بیشتر بخوانید.
____
بیشتر بدانید:
– گزارش جدید نشان می دهد که چگونه هکرهای کره شمالی از محاسبات ابری برای شستشوی غارت رمزنگاری استفاده می کنند – آیا باید نگران باشید؟
– آدرس های کیف پول مرتبط با 200 میلیون دلار اکسپلویت اویلر و هک Axie Infinity به طور مرموزی با یکدیگر ارتباط برقرار می کنند – آیا هکرهای کره شمالی در آن دخیل هستند؟
– سئول: تحریم ها ممکن است در برابر هک های کریپتو کره شمالی بی اثر باشد
– تهدید باج افزار جدید کره شمالی برای “موسسات اصلی”، می گویند کره جنوبی، ایالات متحده شناسایی شد
– هکرهای وب 3 باهوش تر می شوند: در اینجا نحوه ایمن ماندن آورده شده است
– آیا ارز دیجیتال برای سرمایه گذاری در سال 2023 ایمن است؟ چگونه از کلاهبرداری های رمزنگاری جلوگیری کنیم